Verge (XVG) fällt Hacker zum Opfer – schon wieder

Alex Roos

von Alex Roos

Am · Lesezeit: 3 Minuten

Alex Roos

Alex Roos absolvierte einen B.Sc. in "Management, Philosophy & Economics" an der Frankfurt School of Finance & Management und schrieb seine Bachelorarbeit über die "Anwendungsfelder und Adaption der Blockchain Technologie". Ihn begeistern vor allem "pure" Kryptowährungen wie Bitcoin und Monero.

Teilen

Quelle: Hacker using laptop. Hacking the Internet. via Shutterstock

BTC9,394.93 $ 1.39%

Die vermeintlich anonyme Kryptowährung Verge (XVG) litt in den letzten Tagen unter einem Hacker-Angriff. Der Angreifer manipulierte die Blockzeiten seiner Blöcke so, dass die Mining-Schwierigkeit heruntergesetzt wurde. Auf diese Art und Weise erbeutete der Hacker über 35 Millionen XVG, also gut 1,3 Millionen Euro.
Wie der Hacker das Netzwerk austrickste

Wie der Hacker das Netzwerk austrickste

In Verge kommen gleich fünf verschiedene Mining-Algorithmen zum Einsatz. Diese wechseln sich immer so ab, dass der verwendete Algorithmus des letzen Blocks mindestens eine Runde pausiert und einer der vier anderen Algorithmen aktiv wird. Der Angriff passiert durch das Manipulieren der „Timestamps“ (zu Deutsch: Zeitstempel). Damit wird dem Schwierigkeitsgrad vorgegaukelt, dass nicht schnell genug Blöcke produziert werden und die Schwierigkeit deswegen nach unten korrigiert werden muss.

Das Problem für Verge ist, dass der Computercode benutzergenerierte Zeitstempel mit einer Toleranz von bis zu 2 Stunden zulässt. Damit wird die Tür für den Angriff geöffnet. Auf der Blockchain sieht das dann wie folgt aus:

Block 2,168,400
Tuesday, May 22, 2018 4:56:56 AM

Block 2,168,399
Tuesday, May 22, 2018 3:26:57 AM

Block 2,168,398
Tuesday, May 22, 2018 3:26:57 AM

Block 2,168,397
Tuesday, May 22, 2018 4:56:55 AM

Block 2,168,396
Tuesday, May 22, 2018 3:26:56 AM

Block 2,168,395
Tuesday, May 22, 2018 3:26:56 AM

Man sieht hier mehrere Dinge. Auf der einen Seite werden Blöcke teilweise zeitgleich geschürft – Block 2.168.395 & Block 2.168.396. Block 2168397  zeigt eine Pause von 90 Minuten. Der Block darauf, Nummer 2168398, trägt einen Zeitstempel vor seinem Vorgänger! Bei Verge gibt es nämlich eine Zeit-Toleranz von +/- zwei Stunden. Diese Toleranz wird für den Exploit ausgenutzt. Der Schwierigkeitsalgorithmus denkt daraufhin, dass die Schwierigkeit 180x zu hoch ist, denn die normale Blockzeit in Verge sind 30 Sekunden. Die Schwierigkeit wird nach unten geschraubt und der Angreifer kann problemlos einen Block generieren. Im jüngsten Angriff erbeutete der Hacker so 35 Millionen Verge, was über 1,3 Millionen Euro entspricht.


Bitcoin, Ethereum, Ripple, IOTA und die bekanntesten Kryptowährungen (CFD) auf Plus500 sicher handeln. Warum Plus500? Führende CFD Handelsplattform; 40.000 EUR Demo-Konto; Mobile Trading-App; starker Hebel; große Auswahl an verschiedenen Finanzprodukten (Kryptowährungen, Gold Aktien, Rohstoffe, ETFs, Devisen, Indizies).
Jetzt Konto eröffnen

80,5% der Kleinanlegerkonten verlieren Geld beim CFD-Handel mit diesem Anbieter [Anzeige]
.

In folgendem Bild aus einem BitcoinTalk-Thread sieht man die zwei betroffenen Algorithmen: Scrypt und Lyra2re.

Nicht die erste Attacke

Der Angriff kommt nicht zum ersten Mal vor. Verge fiel dem gleichen Exploit schon einmal zum Opfer, damals manipulierte der Hacker allerdings nur einen der fünf Mining-Algorithmen – jetzt sind es zwei. Auch konnte sich das Verge-Entwicklerteam noch nicht dazu durchringen, einen Fix für diese eklatante Lücke herauszugeben. Einige Stimmen im BitcoinTalk-Thread stellen die Kompetenz der Entwickler in Frage. Tatsächlich weist die Code-Basis von Verge größtenteils Code aus anderen Projekten auf.

Vorsicht vor Verge

Aktuell fällt der XVG-Kurs stärker als der anderer Kryptowährungen. In den letzten 24 Stunden büßte er circa 15 Prozent ein, wohingegen sich das Volumen in der letzten Woche verdoppelt hat. Ist dies der Angreifer, der seine erbeuteten Verge in eine andere Kryptowährung umtauscht?

Das Versprechen von Verge ist eine sichere und anonyme Kryptowährung. Allerdings stellt sich die Frage, ob es sich hierbei nicht einzig und allein um einen Markting-Gag handelt. Die TOR-Wallet braucht mehrere Tage, um die Blockchain zu synchronisieren, da der Datenverkehr über das TOR-Netzwerk extrem lange dauert. Verge hat weniger als 40 Full Nodes in Betrieb, was für einen dramatischen Grad an Zentralisierung spricht. Das„Entwickler-Team“ ist eher eine Ein-Mann-Operation und bannt neugierige Fragensteller schnell in den sozialen Mediengruppen.

Das Projekt und die Community selbst scheinen keinen großen Wert auf die technische Grundlage der Kryptowährung zu legen. Wichtig ist nur die Antwort auf die Frage „When Lambo?“ und die nächste Partnerschaft. Wer sich in Verge einkaufen möchte oder dies getan hat, sollte sich Attacken wie diese genau anschauen. Offensichtlich gibt es massive Sicherheitslücken im Protokoll.

Verge ist das Paradebeispiel für eine Kryptowährung, die keinen wirklichen Mehrwert bietet, sondern allein von der allgemeinen Hype-Stimmung am Markt lebt.

BTC-ECHO

Bitcoin & Ether kaufen mit dem Bitwala Konto.

Du möchstes schnell und einfach Kryptowährungen wie Bitcoin und Ether kaufen und handeln? Wie wäre es mit einem kostenlosen Konto von Bitwala mit einer Einlagensicherung bis zu 100.000 EUR. Das Konto ist in nur wenigen Minuten eingerichtet und bietet dir einen direkten Tausch von Euro zu Krypto. Inklusive kostenloser Debitkarte.

[Anzeige]

>> Jetzt kostenloses Konto eröffnen


Teilen

Die aktuellsten News kostenlos per E-Mail

Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise
BTC-ACADEMY

Kryptowährungen einfach kaufen und verkaufen

Ein Bankkonto, Krypto-Wallets und Trading vereint

  • Einfach, sicher und zuverlässig
  • Kontoeröffnung in nur 5 Minuten
  • Nur 1% Handelsgebühr
  • Made in Germany

Deine Vorteile:

– Einfache Kontoeröffnung (auch mobil)

Sofort Bitcoin handeln

– Kreditkarten- und Paypalzahlung möglich

– Kostenloses Demokonto

CFDs bergen Risiken. 80,5% der Kleinanlegerkonten verlieren beim CFD-Handel mit diesem Anbieter Geld.